Secteur bancaire et DSP2 : un mariage de raison ?

Cropped Favicon Economi Matin.jpg
Par Julien Stern Publié le 26 novembre 2019 à 5h25
Carte Bancaire Record Transactions 2
10,6 MILLIARDS €En 2016 en France on a enregistré 10,6 milliards d'euros de transactions par carte bancaire.

Les banques le savent bien… le nombre de transactions électroniques explose, tout comme les risques qui pèsent sur elles, en premier lieu desquels l’usurpation d’identité. Parallèlement, les exigences des clients et les obligations légales en matière de sécurité sont de plus en plus importantes. Dans ce contexte, la Directive européenne sur les Services de Paiements dans le marché intérieur est entrée en application en janvier 2018. Le règlement de la Commission qui devait fixer les éléments techniques relatifs à l’identification forte devait quant à lui entrer en application le 14 septembre 2019.

Or, l’Union Européenne, consciente de certaines difficultés rencontrées par les banques et sites e-commerce dans son application, a accordé à vingt Etats membres, dont la France, un délai pour la mise en application de cette nouvelle directive jusqu’à 2022. Alors quels sont ses objectifs ? Quel est son périmètre d’action ? Comment faut-il accueillir ce report ?

La DSP2 touche tout le secteur bancaire. Elle ambitionne d’harmoniser au niveau européen la réglementation sur les paiements en prenant en compte les avancées technologiques et d’améliorer le niveau de sécurité des paiements en ligne ainsi que la protection des consommateurs.

DSP2, concrètement ça change quoi ?

La DSP2 doit changer les règles d’authentification en imposant aux prestataires de services de paiement en ligne des procédures d’authentification forte de leurs clients pour les paiements supérieurs à 30 euros. Les sites e-commerce et les banques doivent ainsi mettre en place des dispositifs d’authentification forte de leurs clients, par exemple au moyen d’une donnée biométrique telle que l'empreinte digitale.

Le processus d’authentification forte consiste à s’assurer que les clients des banques sont bien à l’origine d’un paiement dématérialisé par carte bancaire ou de la connexion à leur « espace client », à l’aide d’au moins deux de ces trois éléments :

  • Une information connue uniquement par eux : mot de passe, code secret, question secrète ;
  • L’utilisation d’un appareil leur appartenant : téléphone portable, carte à puce, montre connectée ;
  • Une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale.

Si l’un de ces éléments de l’identité numérique d’une personne est faux, l’opération ou la connexion à l’espace bancaire personnel est alors interdite. Par ailleurs, si une banque ou un prestataire de services de paiement1 ne vérifie pas un paiement au moyen d’une authentification forte, le client n’a alors pas à supporter les conséquences financières d’une opération dont il n’est pas à l’origine.

Par ailleurs, le règlement délégué2 qui complète DSP2 impose aux entreprises de disposer de deux certificats d’identité numérique : l’un pour sécuriser et authentifier les transactions financières, l’autre pour chiffrer les flux d’échanges entre les banques et les prestataires de services de paiement tiers. L’article 34 de ce même règlement impose des certificats qualifiés de cachet électronique ou des certificats qualifiés d'authentification de site internet.

DSP2 : les raisons du report

Parmi les principaux obstacles qui ont amené l’UE à reporter la mise en application de DSP2, citons notamment :

· Le retard des professionnels dans la mise en place de procédés d’authentification forte ;

· La méconnaissance par les entreprises du paiement en ligne de l’authentification forte ;

· Le faible niveau d’équipement en smartphone biométriques des français ;

· Le taux de conversion : les craintes des commerçants de voir le nombre d’achats en ligne baisser fortement avec la double authentification jugée contraignante. Une étude de 451 Research de juin 2019 prévo it à cet égard une perte de 57 milliards d’euros pour l’activité économique au sein de la zone euros, la première année suivant l’introduction de l’authentification forte.

Le secteur bancaire doit se mettre en ordre de marche d’ici 2022

La sécurisation des paiements en ligne est indispensable pour les banques puisqu’il s’agit de leur cœur d’activité. Les banques utilisent par ailleurs des services de confiance comme la signature électronique. Or, plus les établissements bancaires montent en gamme de service de signature en utilisant par exemple de la signature électronique avancée avec certificat qualifié, plus les exigences d’authentification requises par DSP2 et le règlement européen eIDAS (qui encadre les services de confiance) sont similaires, qu’il s’agisse du déclenchement d’un paiement en ligne ou de celui d’une signature électronique. Une véritable convergence existe donc entre ces deux mondes. Il est donc primordial pour les établissements bancaires de ne pas s’improviser sur le sujet de l’authentification forte, compte-tenu de l’enjeu réglementaire et des impacts économiques liés.

1 Etablissements de crédit et de paiement

2 Règlement délégué (UE) 2018/389 du 27 novembre 2017

Cropped Favicon Economi Matin.jpg

Fondateur et CEO d’Universign

Suivez-nous sur Google News Economie Matin - Soutenez-nous en nous ajoutant à vos favoris Google Actualités.

Aucun commentaire à «Secteur bancaire et DSP2 : un mariage de raison ?»

Laisser un commentaire

* Champs requis